海水如何斗量？知道創(chuàng)宇專用目標篩選機--海量流量“過濾器”

隨著線上直播產(chǎn)品「專用目標篩選機」的發(fā)布，標志著本次“云端情報賦能，強網(wǎng)戰(zhàn)力升級”知道創(chuàng)宇2021新品發(fā)布季圓滿落下帷幕。

不過被譽為“流量過濾器”的專用目標篩選機，針對國家級海量流量，究竟是如何解決流量能否利用、如何利用、怎樣最高效利用等關鍵問題的呢?

無論是正常的網(wǎng)絡通信，亦或是黑客發(fā)起的網(wǎng)絡攻擊，都會有網(wǎng)絡流量的產(chǎn)生。流量包含豐富信息，黑客的攻擊行為同樣會在流量中留下蛛絲馬跡。

通過對攻擊流量進行針對性的分析，往往可以獲得攻擊者身份信息、攻擊路徑、攻擊方法等諸多信息，進而匯總生成黑客畫像。然而要在國家級的海量流量中，準確的找到黑客攻擊流量，或者針對關鍵信息基礎設施的流量，是一項巨大挑戰(zhàn)。

產(chǎn)品功能大盤點

專用目標篩選機系統(tǒng)是基于知道創(chuàng)宇安全大腦的高精準威脅情報而形成的一款能力型產(chǎn)品，意在幫助客戶從海量的網(wǎng)絡流量中篩選出黑客攻擊流量或關鍵基礎設施流量，后續(xù)對黑客攻擊流量或關鍵基礎設施流量進行分析，異常時進行預警響應。

黑客攻擊流量篩選

從網(wǎng)絡流量中篩選出黑客攻擊流量，從可編程交換機的端口發(fā)送出去。

支持多種報文識別：2層VLAN識別、IPv4報文識別、4層MPLS標簽識別等。

關鍵基礎設施流量篩選

從網(wǎng)絡流量中篩選出關鍵基礎設施流量，從可編程交換機的端口發(fā)送出去。

支持多種報文識別：2層VLAN識別、IPv4報文識別、4層MPLS標簽識別等。

目標情報更新

支持目標情報離線更新，將目標情報離線升級包上傳至設備上，然后通過目標情報離線更新命令完成目標情報更新。

目標標簽管理

支持目標標簽，每一個目標有相應的標簽。例如關基目標情報，其標簽包含目標的所屬國家、所屬行業(yè)等。

篩選出的目標流量在源MAC地址中攜帶上目標標簽信息。

輸出端口組管理

管理員可設置輸出端口組，組內(nèi)的所有端口均作為篩選流量輸出端口，通過負載均衡的方式選擇輸出端口組內(nèi)的端口作為流量發(fā)送端口。

API

產(chǎn)品提供的API接口可完全控制整套系統(tǒng)核心能力的運作，完全不需要人工干預。在集成場景下可提供強大的數(shù)據(jù)支撐能力。

技術優(yōu)勢全呈現(xiàn)

依賴于創(chuàng)宇安全大腦的高精準威脅情報，與世界級網(wǎng)絡空間資產(chǎn)測繪引擎ZoomEye相結合，以獨家黑客攻擊IP威脅情報與高質量關基目標作為篩選條件，這正是“專用目標篩選機”的研發(fā)創(chuàng)新角度。

優(yōu)勢一 國內(nèi)領先的高密度大流量線速處理能力

專用目標篩選機基于可編程交換芯片(Programmable Switch Chip/Integrated Circuit)進行編程，可編程交換是近幾年出現(xiàn)的新技術，該技術基于ASIC，實現(xiàn)全端口線速轉發(fā)，低延時，低功耗。同時基于P4可編程模型實現(xiàn)，可以對硬件轉發(fā)進行編程，可以根據(jù)用戶的需求對硬件轉發(fā)做多次修改，大大提高靈活性。

優(yōu)勢二 獨家黑客攻擊IP威脅情報能力

專用目標篩選機的黑客目標情報基于知道創(chuàng)宇安全大腦的全球威脅情報庫生成，包括GAC網(wǎng)絡攻擊追蹤平臺、ZoomEye威脅庫、暗網(wǎng)雷達、云蜜罐威脅情報庫等多種數(shù)據(jù)源，囊括全網(wǎng)惡意IP，識別精度高、質量高。

優(yōu)勢三 高質量關基目標

專用目標篩選機依托于全球領先的ZoomEye網(wǎng)絡空間測繪引擎，結合泛目標辨識分析技術，針對全球定向地區(qū)的指定行業(yè)所暴露在互聯(lián)網(wǎng)上的目標網(wǎng)絡資源進行深度梳理、標識，形成關基目標庫。

專用目標篩選機擁有重點方向目標深度辨識能力，可針對重點方向基礎設施、民生設施等網(wǎng)絡資產(chǎn)深度辨識;也具備重點網(wǎng)絡目標拓撲探測能力，通過自研拓撲探測組件，可以實現(xiàn)針對互聯(lián)網(wǎng)拓撲的連通性探測、路由發(fā)現(xiàn)及互聯(lián)網(wǎng)拓撲推測復現(xiàn)。

同時，還擁有泛目標擴展測繪能力和高精度IP定位能力，既能利用大數(shù)據(jù)、AI關聯(lián)分析等方式針對泛目標開展網(wǎng)絡空間信息測繪，又可以基于地標定位等技術實現(xiàn)針對國際部分區(qū)域IP的物理位置高精度定位標識能力。

專用目標篩選機應用

應用場景

當國家監(jiān)管機構需要從海量網(wǎng)絡流量中篩選出對我國關鍵基礎設施的攻擊流量時，可采用專用目標篩選機對流量進行篩選，后續(xù)對篩選出來的攻擊流量進行分析，需要時進行預警響應，通知關鍵基礎設施相關企業(yè)進行應對。

應用價值

快速篩選高價值流量信息：篩選出黑客攻擊流量和關鍵基礎設施流量。

全流量全視角信息抓?。?/strong>2U設備即可線速抓取高達6.4Tbps流量，多臺可抓取全流量。

待分析流量減少99%：黑客和關鍵基礎設施流量占全流量的比重很小，可大幅減少待分析流量。

減少95%人工：客戶無需人工分析黑客和關鍵基礎設施威脅情報，可大量減少人工投入。

對于國家監(jiān)管機構，面對國家級的網(wǎng)絡攻擊行為，在源源不斷的海量流量中，如果能精準提取收集攻擊流量、提前掌握攻擊者的動向、關鍵基礎設施的訪問情況，就可以做到在出現(xiàn)針對關鍵基礎設施發(fā)起的攻擊行為時，及時進行預警響應。

而這，這也正是專用目標篩選機的研發(fā)初衷和實際意義。